CVEに基づく脆弱性管理の話。
CVEの3指標(CVSS, EPSS, KEV)を組み合わせることで、「どの脆弱性から優先的に対処すべきか」という意思決定を効率化できます
CVEについて
CVE (Common Vulnerabilities and Exposures)とは、「どの脆弱性の話をしているか」を世界中で共通認識にするための背番号です。
MITREが世界中で公開・報告されるソフトウェア・ハードウェアの脆弱性情報を集計し、番号を付与して公表しています。
脆弱性ごとの一意の識別情報であり、脆弱性の世界共通言語としての役割を持っています。
但し、CVE単体では「どれくらい危ないか」という評価は含まれません。
なので、以下の情報が付加されます。
CVSS
CVSS (Common Vulnerability Scoring System)とは、MITREが計算式によって算出する、その脆弱性が「技術的にどれほど深刻か」を数値化したものです。
- 視点: 攻撃のしやすさや、情報漏洩・システム停止などの影響範囲を評価します。
- メリット: 脆弱性そのものの「凶悪さ」が直感的にわかります。
- デメリット: 「実際に今、攻撃に使われているか」という現状の脅威(インテリジェンス)は反映されにくいため、CVSS 10.0(緊急)でも実際には誰も攻撃していない、ということが多々あります。
EPSS
EPSS (Exploit Prediction Scoring System)とは、FIRST(Forum of Incident Response and Security Teams) がAI(機械学習)により算出する、「その脆弱性が近い将来(30日以内)、実際に攻撃に使われる確率」を予測する指標です。
数値は(0.0~1.0)の範囲で、動的に変化します。
数値は0.05でも十分高く、0.1だと異常に高いとう評価になります。
主な入力要素
- CVSS各要素(Attack Vector / Complexity など)
- 公開からの経過日数
- PoC(攻撃コード)の公開有無
- Exploit DB / Metasploit への登録状況
- SNS・GitHub・攻撃観測データ
- 過去の類似脆弱性の悪用傾向
KEV
米国のCISA (Cybersecurity and Infrastrucure security Agency) が公開している「実際に悪用が確認された脆弱性」のリストです。(KEVカタログ:Known Exploited Vulnerabilities Catalogに搭載されます)
リストには以下の条件に当てはまるものが搭載されます。
- CVE番号が付与・公開されている
- 実際に攻撃で悪用された痕跡(実被害や攻撃ログなど)がある
- 影響を受けるシステムの修正策(パッチや回避策)が公開されている
ここに載っている脆弱性は、すでに攻撃者が武器化して使用しているため、最優先で対応が必要なものと判断できます。
参考: “CISA” には2つの意味があります。1つは上記の米国のお役所名。もう一つは国際資格名(Certified Information Systems Auditor) です。
その他の重要な指標:SSVC
最近では、CVSSに代わる(または補完する)意思決定フレームワークとして SSVC(Stakeholder-Specific Vulnerability Categorization) も注目されています。
- SSVC: 「組織の状況」に合わせて、脆弱性にどう対処すべきか(すぐに直す、計画的に直す、様子を見る、など)を決定木(デシジョンツリー)で導き出す手法です。
- 例:「インターネットに公開されているか?」「代替手段はあるか?」といった組織固有の状況を考慮します。
まとめ
3指標の対比表
| 項目 | CVSS | EPSS | KEV |
|---|---|---|---|
| 正式名称 | Common Vulnerability Scoring System (共通脆弱性評価システム) | Exploit Prediction Scoring System (悪用予測スコアリング) | Known Exploited Vulnerabilities Catalog (既知の悪用された脆弱性) |
| 管理主体 | FIRST(Forum of Incident Response and Security Teams) | 同左 | CISA(米国国土安全保障省配下) |
| 位置づけ | 脆弱性の深刻度 | 脆弱性が今後30日以内に実際に悪用される確率 | 実際に悪用された脆弱性の厳選リスト |
| 数値の範囲 | 0.0(軽微)〜10.0(深刻) | 0.0(低い)〜1.0(高い) 時間的変動あり | ー |
| 備考 | 多数(数十万件以上) 随時更新 | 同左 | 少数(数百〜千件程度) 定期(四半期)更新+緊急追加もあり |
3指標の優先順位
一般的には、KEV > EPSS > CVSSの順で優先します。
- とりあえず過去に悪用実績(KEV)があれば最優先で対応
- 次に高EPSSを優先
- その次が高CVSS
| KEV 状態 | EPSS⬆️ + CVSS⬆️ | EPSS⬆️ + CVSS⬇️ | EPSS⬇️ + CVSS⬆️ | EPSS⬇️ + CVSS⬇️ |
|---|---|---|---|---|
| KEV 該当 | 🚨 P0: 即時対応(攻撃実績+高確率・高影響) | 🚨 P0: 即時対応(事実ベースで脅威) | ⚠️ P1: 即優先(実害実績+高影響) | ⚠️ P1: ASAP(実害実績のため高優先) |
| KEV 非該当 | ⚠️ P1: 高優先(高可能性・高影響) | 🔥 P2: 早期対応(高可能性だが影響やや小) | 🔍 P2/P3: 中優先(影響は大きいが可能性低) | 🕒 P4: 計画対応(優先度低) |
参考
上記3指標を参照する方法についてです
オープンソース
- OpenCVE 3指標を一覧出来るサイト
- FutureVuls: 日本発の脆弱性管理ツールで、無償版でもCVE/CVSSのほか、KEVやEPSSの情報を統合して表示・フィルタリングできます。
- CVE_Prioritizer: Pythonベースのオープンソースツールで、CVE-IDを入力するとCVSS, EPSS, KEVの情報をまとめて出力してくれます。
APIやブラウザでの直接確認
- CISA KEV Catalog: CISAの公式サイトからCSV/JSONでリストをダウンロードできます。
- FIRST EPSS API: 特定のCVEをクエリして、最新のEPSSスコアをJSON形式で取得できます。
商用脆弱性スキャナ
企業のインフラを管理するツール(Tenable, Qualys, Rapid7 など)では、ダッシュボードやフィルタリング機能でこれらを活用できます。
- Tenable (Nessus / Tenable.io):
- Vulnerability Priority Rating (VPR): Tenable独自の指標ですが、内部的にCVSS、EPSS、KEVに相当するデータを統合してスコアリングしています。
- フィルタ機能: 検索条件で「CISA KEV: True」や「EPSS Score > 0.5」といった絞り込みが可能です。
- Rapid7 (InsightVM):
- Active Risk: KEV(Exploited in the wild)の情報を統合した独自のダッシュボードがあり、「今まさに攻撃されている脆弱性」を即座に特定できます。
- Qualys (VMDR):
- TruRisk: CVSSに加えて、EPSSの予測データとKEVの事実データを組み合わせて、組織にとっての真のリスクを算出します。
開発・コード管理ツール
ソフトウェア開発の現場(GitHub など)でも、これらの指標が直接統合されています。
- GitHub Dependabot:
- EPSSの表示: 2025年2月から、Dependabotのアラート詳細画面にEPSSスコアが表示されるようになりました。「今後30日以内に悪用される確率」が%で表示され、トリアージに役立ちます。
- フィルタリング: アラート一覧で「Severity(CVSSベース)」だけでなく、EPSSの高さで並べ替えることが可能です。
コメント